Anexo B: cuentas con privilegios y grupos de Active Directory
Anexo B: cuentas con privilegios y grupos de Active Directory
Las cuentas y grupos con privilegios de Active Directory son aquellas a las que se conceden derechos, privilegios y permisos eficaces que les permiten realizar casi cualquier acción en Active Directory y en sistemas unidos a un dominio. Este apéndice comienza mostrando los derechos, privilegios y permisos, seguido de información sobre las cuentas y grupos de privilegios más altos de Active Directory, estas son las cuentas y grupos más eficaces.
También se proporciona información sobre cuentas y grupos integrados y predeterminados en Active Directory, así como sus derechos. Aunque se proporcionan recomendaciones de configuración específicas para proteger las cuentas y grupos de privilegios más altos en apéndices distintos, este apéndice proporciona información general que le ayuda a identificar en qué usuarios y grupos debe centrarse en su protección. Debe hacerlo porque los atacantes pueden aprovecharlo para poner en peligro e incluso destruir la instalación de Active Directory.
Derechos, privilegios y permisos en Active Directory
Las diferencias entre los derechos, permisos y privilegios pueden ser confusos y contradictorias incluso dentro de la misma documentación de Microsoft. En esta sección describen algunas de las características de cada que se usan en este documento. Estas descripciones no se deben considerar autoritativas con respectos a otra documentación de Microsoft, ya que puede usar estos términos de forma diferente.
Derechos y privilegios
Los derechos y privilegios son eficazmente las mismas funcionalidades de todo el sistema que le se conceden a las entidades de seguridad, como usuarios, servicios, equipos o grupos. En las interfaces que suelen usar los profesionales de TI, se les denominan normalmente "permisos" o "permisos del usuario", y a veces se asignan mediante objetos de directiva de grupo. La siguiente captura de pantalla muestra algunos de los derechos de usuario más comunes que se pueden asignar a las entidades de seguridad (representa el GPO de controladores de dominio predeterminados en un dominio de Windows Server 2012). Algunos de estos derechos se aplican a Active Directory, como el de Habilitar confianza con el equipo y las cuentas de usuario para delegación, mientras otros derechos se aplican al sistema operativo de Windows, como el de Cambiar la hora del sistema.
En interfaces como el Editor de objetos de directiva de grupo, todas estas funcionalidades asignables se conocen ampliamente como derechos de usuario. Sin embargo, en realidad, algunos derechos de usuario se conocen mediante programación como derechos, mientras que otros se conocen mediante programación como privilegios. Tabla B-1: los derechos de usuario y privilegios proporcionan algunos de los derechos de usuario asignables más comunes y sus constantes de programación. Aunque la directiva de grupo y otras interfaces los llaman a todos ellos como permisos de usuario, algunos se identifican mediante programación como derechos, mientras que otros se definen como privilegios.
Para obtener más información sobre cada uno de los derechos de usuario enumerados en la siguiente tabla, use los vínculos de la tabla o consulteGuía de amenazas y contramedidas: Derechos de usuario en la guía de Mitigación de amenazas y vulnerabilidades de Windows Server 2008 R2 en el sitio de Microsoft TechNet. Para obtener información aplicable a Windows Server 2008, consulte Derechos de usuario en la documentación sobre Mitigación de amenazas y vulnerabilidades en el sitio de Microsoft TechNet. En el momento de escritura de este documento, aún no se ha publicado la documentación correspondiente para Windows Server 2012.
Nota
Para los fines de este documento, los términos "derechos" y "derechos de usuario" se usan para identificar derechos y privilegios a menos que se especifique lo contrario.
Tabla B-1: Derechos y privilegios de usuario
Permisos
Los permisos son controles de acceso que se aplican a objetos protegibles, como el sistema de archivos, el registro, el servicio y los objetos de Active Directory. Cada objeto protegible tiene una lista de control de acceso (ACL) asociada que contiene entradas de control de acceso (ACE), estas conceden o niegan la capacidad de realizar varias operaciones en el objeto a las entidades de seguridad (usuarios, servicios, equipos o grupos). Por ejemplo, las ACL de varios objetos de Active Directory contienen ACE que permiten leer información general sobre los objetos a los usuarios autenticados, pero no les concede la capacidad de leer información confidencial o cambiar los objetos. Con la excepción de la cuenta de invitado integrada de cada dominio, cada entidad de seguridad que inicia sesión y se autentica mediante un controlador de dominio en un bosque de Active Directory o un bosque de confianza tiene agregado el identificador de seguridad de usuarios autenticados (SID) en su token de acceso de forma predeterminada. Por lo tanto, la operación de lectura se realiza correctamente si un usuario, servicio o cuenta de equipo intenta leer las propiedades generales en objetos de usuario de un dominio.
Si una entidad de seguridad intenta acceder a un objeto para el que no se han definido ACE y que contienen un SID presente en el token de acceso de la entidad de seguridad, la entidad de seguridad no puede tener acceso al objeto. Además, si una ACE de la ACL de un objeto contiene una entrada de denegación para un SID que coincide con el token de acceso del usuario, la ACE de "denegación" generalmente invalidará una ACE de "permiso" en conflicto. Para obtener más información sobre el control de acceso en Windows, consulte Control de acceso en el sitio web de MSDN.
En este documento, los permisos se refieren a las capacidades que se conceden o deniegan a las entidades de seguridad en objetos protegibles. Cuando haya un conflicto entre un derecho de usuario y un permiso, el derecho de usuario generalmente tiene la prioridad. Por ejemplo, si un objeto de Active Directory se ha configurado con una ACL que deniega a los administradores todo el acceso de lectura y escritura a un objeto, un usuario que sea miembro del grupo de administradores del dominio no podrá ver mucha información sobre el objeto. No obstante, dado que el grupo de administradores tiene el derecho de usuario "Tomar posesión de archivos u otros objetos", el usuario simplemente puede tomar posesión del objeto en cuestión y volver a escribir la ACL del objeto para conceder a los administradores su control total.
Por este motivo, este documento le anima a evitar el uso de cuentas y grupos eficaces para la administración diaria, en lugar de intentar restringir las funcionalidades de las cuentas y grupos. No es posible detener eficazmente a un usuario determinado con acceso a credenciales eficaces mediante esas credenciales para obtener acceso a cualquier recurso protegible.
Cuentas y grupos con privilegios integrados
Active Directory está pensado para facilitar la delegación de la administración y el principio de privilegios mínimos al asignar derechos y permisos. Los usuarios "normales" que tienen cuentas en un dominio de Active Directory pueden leer gran parte de lo que se almacena en el directorio de forma predeterminada, pero solo pueden cambiar un conjunto de datos muy limitado en este directorio. A los usuarios que requieran privilegios adicionales se les puede conceder la pertenencia a varios grupos con privilegios incluidos en el directorio, para que puedan realizar tareas específicas relacionadas con sus roles, pero no puedan hacer tareas no relevantes para sus obligaciones.
Dentro de Active Directory, hay tres grupos integrados que componen los grupos de privilegios más altos del directorio, además de un cuarto grupo, el grupo Administradores de esquemas (SA):
- Administradores de empresas (EA)
- Admins. del dominio (DA)
- Administradores integrados (BA)
- Administradores de esquema (SA)
Los administradores de esquemas (SA), que tiene privilegios que pueden dañar o destruir un bosque completo de Active Directory si se abusan, pero este grupo está más restringido en sus funcionalidades que los grupos EA, DA y BA.
Además de estos cuatro grupos, hay una serie de cuentas y grupos predefinidos y predeterminados adicionales en Active Directory, cada uno tiene derechos y permisos que les permiten realizar tareas administrativas específicas. Aunque este apéndice no proporciona una explicación exhaustiva de todos los grupos predefinidos o predeterminados de Active Directory, proporciona una tabla de los grupos y cuentas que es más probable que vea en las instalaciones.
Por ejemplo, si instala Microsoft Exchange Server en un bosque de Active Directory, se pueden crear cuentas y grupos adicionales en los contenedores integrados y de usuarios de los dominios. Este apéndice solo describe los grupos y cuentas que se crean en los contenedores integrados y de usuarios de Active Directory en función de los roles y características nativos. No se incluyen las cuentas y los grupos creados por la instalación de software empresarial.
Administradores de empresas
El grupo Administradores de empresa (EA) se ubica en el dominio raíz del bosque y es miembro del grupo administradores integrado en todos los dominios del bosque de forma predeterminada. La cuenta de administrador integrada en el dominio raíz del bosque es el único miembro predeterminado del grupo EA. Los grupos EA tienen derechos y permisos que les permiten hacer cambios en todo el bosque. Estos cambios afectan a todos los dominios del bosque, como agregar o quitar dominios, establecer confianzas de bosque o aumentar los niveles funcionales del bosque. En un modelo de delegación correctamente diseñado e implementado, la pertenencia a EA solo se requiere al crear el bosque o al realizar determinados cambios globales en este, como establecer una relación de confianza del bosque de salida.
El grupo EA se ubica de forma predeterminada en el contenedor Usuarios del dominio raíz del bosque y es un grupo de seguridad universal, a menos que el dominio raíz del bosque se ejecute en modo mixto de Windows 2000 Server, donde el grupo es un grupo de seguridad global. Aunque algunos derechos se conceden directamente al grupo EA, varios se heredan realmente del grupo EA porque es miembro del grupo de administradores de cada dominio del bosque. Los administradores de empresa no tienen derechos predeterminados en estaciones de trabajo o servidores miembros.
Admins. del dominio
Cada dominio de un bosque tiene su propio grupo de administradores del dominio (DA), que es miembro del grupo de administradores predefinidos (BA) de ese dominio, así como miembro del grupo de administradores locales de cada equipo unido al dominio. El único miembro predeterminado del grupo DA de un dominio es la cuenta de administrador integrada de ese dominio.
Los grupos DA tienen "poder total" en sus dominios, mientras que los grupos EA tienen privilegios en todo el bosque. En un modelo de delegación correctamente diseñado e implementado, la pertenencia al grupo DA solo se necesita en escenarios de "emergencia", es decir, situaciones en las que se necesita una cuenta con altos niveles de privilegios en todos los equipos del dominio o cuando deben hacerse cambios amplios en todo el dominio. Aunque los mecanismos de delegación nativos de Active Directory permiten la delegación en la medida en que sea posible usar cuentas DA solo en escenarios de emergencia, crear un modelo de delegación eficaz puede tardar mucho tiempo, por lo que muchas organizaciones aprovechan herramientas de terceros para acelerar el proceso.
El grupo DA es un grupo de seguridad global ubicado en el contenedor Usuarios del dominio. Hay un grupo de DA para cada dominio del bosque y el único miembro predeterminado de un grupo DA es la cuenta de administrador integrada del dominio. Dado que el grupo DA de un dominio está anidado en el grupo BA del dominio y en el grupo de administradores locales de cada sistema unido al dominio, los grupos DA no sólo tienen permisos que se conceden específicamente a los administradores del dominio, sino que también heredan todos los derechos y permisos concedidos al grupo de administradores del dominio y al grupo de administradores locales en todos los sistemas unidos al dominio.
Administradores
El grupo de administradores predeterminados (BA) es un grupo local de dominio en el contenedor integrado de un dominio en el que se anidan los DA y los EAs. A este grupo se le conceden muchos de los derechos y permisos directos en el directorio y en los controladores de dominio. No obstante, el grupo de administradores de un dominio no tiene ningún privilegio ni en los servidores miembro ni en las estaciones de trabajo. Donde se conceden privilegios locales es en la pertenencia al grupo de administradores locales de los equipos unidos a un dominio; y de los grupos mencionados, solo los grupos DA son miembros de todos los grupos de administradores locales de todos los equipos unidos a un dominio de forma predeterminada.
El grupo de administradores es un grupo local de dominio en el contenedor integrado del dominio. De forma predeterminada, cada grupo de BA del dominio contiene la cuenta de administrador integrada del dominio local, el grupo DA del dominio local y el grupo EA del dominio raíz del bosque. Muchos derechos de usuario en Active Directory y en los controladores de dominio se conceden específicamente al grupo de administradores, no a los grupos EA o DA. Al grupo BA de un dominio se le conceden permisos de control total en la mayoría de los objetos de directorio y pueden tomar posesión de los objetos de directorio. Aunque a los grupos EA y DA se les conceden determinados permisos específicos del objeto en el bosque y los dominios, gran parte de la potencia de los grupos realmente se "hereda" de su pertenencia a grupos BA.
Nota
Aunque estas son las configuraciones predeterminadas de estos grupos con privilegios, un miembro de cualquiera de los tres grupos puede manipular el directorio para pasar a ser miembro de cualquiera de los otros grupos. En algunos casos, es fácil hacerlo, y en otros es más difícil, pero desde la perspectiva de los privilegios potenciales, los tres grupos deben considerarse eficazmente equivalentes.
Administradores de esquema
El grupo de administradores de esquemas (SA) es un grupo universal en el dominio raíz del bosque y solo tiene la cuenta de administrador integrada de ese dominio como miembro predeterminado, similar al grupo EA. Aunque la pertenencia al grupo de SA puede permitir que un atacante ponga en peligro el esquema de Active Directory, que es el marco para todo el bosque de Active Directory, las grupos SA tienen pocos derechos y permisos predeterminados más allá del esquema.
Debe administrar y supervisar la pertenencia al grupo SA con cuidado, pero en algunos aspectos, este grupo es "menos privilegiado" que los tres grupos con privilegios más altos mencionados anteriormente porque el ámbito de su privilegio es muy estrecho; es decir, los grupos SA no tienen derechos administrativos en ningún otro lugar que no sea el esquema.
Grupos integrados y predeterminados adicionales en Active Directory
Para facilitar la delegación de la administración en el directorio, Active Directory se distribuye con varios grupos integrados y predeterminados con permisos y derechos específicos concedidos. Estos grupos se describen brevemente en la siguiente tabla.
La siguiente tabla enumera los grupos integrados y predeterminados de Active Directory. Ambos conjuntos de grupos existen de forma predeterminada. No obstante, los grupos integrados se encuentran (de forma predeterminada) en el contenedor integrado de Active Directory, mientras que los grupos predeterminados se encuentran (de forma predeterminada) en el contenedor Usuarios de Active Directory. Los grupos del contenedor integrado son todos los grupos locales del dominio, mientras que los grupos del contenedor Usuarios son una combinación de grupos del dominio local, global y universal, además de tres cuentas de usuario individuales (administrador, invitado y Krbtgt).
Además de los grupos con privilegios más altos mencionados anteriormente en este apéndice, se conceden privilegios elevados a algunas cuentas y grupos integrados y predeterminados y también se deben proteger y usar solo en hosts administrativos seguros. Estos grupos y cuentas se pueden encontrar en las filas sombreadas de la tabla B-1: Grupos y cuentas predeterminados y integrados en Active Directory. Dado que a algunos de estos grupos y cuentas se les conceden derechos y permisos que se pueden usar incorrectamente para poner en peligro Active Directory o los controladores de dominio, se les conceden protecciones adicionales, como se describe en el Apéndice C: Cuentas y grupos protegidos en Active Directory.
Tabla B-1: Cuentas y grupos integrados y predeterminados en Active Directory
| Cuenta o grupo | Contenedor predeterminado, ámbito de grupo y tipo | Descripción y derechos de usuario predeterminados |
|---|---|---|
| Operadores de asistencia de control de acceso (Active Directory en Windows Server 2012) | Contenedor integrado Grupo de seguridad local del dominio |
Los miembros de este grupo pueden consultar de forma remota atributos y permisos de autorización para los recursos de este equipo. Derechos de usuario directo: Ninguno Derechos de usuario heredados: Obtener acceso a este equipo desde la red Agregar estaciones de trabajo al dominio Omitir comprobación de recorrido Aumentar el espacio de trabajo de un proceso |
| Operadores de cuentas | Contenedor integrado Grupo de seguridad local del dominio |
Los miembros pueden administrar cuentas de usuario y grupos del dominio. Derechos de usuario directo: Ninguno Derechos de usuario heredados: Obtener acceso a este equipo desde la red Agregar estaciones de trabajo al dominio Omitir comprobación de recorrido Aumentar el espacio de trabajo de un proceso |
| Cuenta de administrador | Contenedor users No es un grupo |
Cuenta integrada para administrar el dominio. Derechos de usuario directo: Ninguno Derechos de usuario heredados: Obtener acceso a este equipo desde la red Agregar estaciones de trabajo al dominio Ajustar las cuotas de la memoria para un proceso Permitir el inicio de sesión local Permitir inicio de sesión a través de Servicios de Escritorio remoto Hacer copias de seguridad de archivos y directorios Omisión de la comprobación transversal Cambiar la hora del sistema Cambiar la zona horaria Crear un archivo de paginación Crear objetos globales Crear vínculos simbólicos Programas de depuración Habilitar confianza con las cuentas de usuario y de equipo para delegación Forzar cierre desde un sistema remoto Suplantar un cliente después de autenticación Aumentar el espacio de trabajo de un proceso Aumentar prioridad de programación Cargar y descargar controladores de dispositivo Iniciar sesión como proceso por lotes Administrar la auditoría y el registro de seguridad Modificar valores de entorno firmware Realizar tareas de mantenimiento del volumen Analizar un solo proceso Analizar el rendimiento del sistema Quitar equipo de la estación de acoplamiento Restaurar archivos y directorios Apagar el sistema Tomar posesión de archivos y otros objetos |
| Grupo de administradores | Contenedor integrado Grupo de seguridad local del dominio |
Los administradores tienen acceso completo y sin restricciones al dominio. Derechos de usuario directo: Obtener acceso a este equipo desde la red Ajustar las cuotas de la memoria para un proceso Permitir el inicio de sesión local Permitir inicio de sesión a través de Servicios de Escritorio remoto Hacer copias de seguridad de archivos y directorios Omisión de la comprobación transversal Cambiar la hora del sistema Cambiar la zona horaria Crear un archivo de paginación Crear objetos globales Crear vínculos simbólicos Programas de depuración Habilitar confianza con las cuentas de usuario y de equipo para delegación Forzar cierre desde un sistema remoto Suplantar un cliente después de autenticación Aumentar prioridad de programación Cargar y descargar controladores de dispositivo Iniciar sesión como proceso por lotes Administrar la auditoría y el registro de seguridad Modificar valores de entorno firmware Realizar tareas de mantenimiento del volumen Analizar un solo proceso Analizar el rendimiento del sistema Quitar equipo de la estación de acoplamiento Restaurar archivos y directorios Apagar el sistema Tomar posesión de archivos y otros objetos Derechos de usuario heredados: Obtener acceso a este equipo desde la red Agregar estaciones de trabajo al dominio Omitir comprobación de recorrido Aumentar el espacio de trabajo de un proceso |
| Grupo con permiso para replicar contraseñas en RODC | Contenedor users Grupo de seguridad local del dominio |
Los miembros de este grupo pueden tener sus contraseñas repetidas en todos los controladores de dominio de solo lectura del dominio. Derechos de usuario directo: Ninguno Derechos de usuario heredados: Obtener acceso a este equipo desde la red Agregar estaciones de trabajo al dominio Omitir comprobación de recorrido Aumentar el espacio de trabajo de un proceso |
| Operadores de copias de seguridad | Contenedor integrado Grupo de seguridad local del dominio |
Los operadores de copia de seguridad pueden reemplazar las restricciones de seguridad con el único propósito de hacer copias de seguridad de los archivos o de restaurarlas. Derechos de usuario directo: Permitir el inicio de sesión local Hacer copias de seguridad de archivos y directorios Iniciar sesión como proceso por lotes Restaurar archivos y directorios Apagar el sistema Derechos de usuario heredados: Obtener acceso a este equipo desde la red Agregar estaciones de trabajo al dominio Omitir comprobación de recorrido Aumentar el espacio de trabajo de un proceso |
| Publicadores de certificados | Contenedor users Grupo de seguridad local del dominio |
Los miembros de este grupo pueden publicar certificados en el directorio. Derechos de usuario directo: Ninguno Derechos de usuario heredados: Obtener acceso a este equipo desde la red Agregar estaciones de trabajo al dominio Omitir comprobación de recorrido Aumentar el espacio de trabajo de un proceso |
| Acceso DCOM de servicio de Certificate Service | Contenedor integrado Grupo de seguridad local del dominio |
Este grupo concede a DCOM acceso de inscripción a usuarios de dominio y equipos de dominio si Certificate Services está instalado en un controlador del dominio (no recomendado). Derechos de usuario directo: Ninguno Derechos de usuario heredados: Obtener acceso a este equipo desde la red Agregar estaciones de trabajo al dominio Omitir comprobación de recorrido Aumentar el espacio de trabajo de un proceso |
| Controladores de dominio clonables (AD DS en Windows Server 2012AD DS) | Contenedor users Grupo de seguridad global |
Es posible que los miembros de este grupo que son controladores de dominio se clonen. Derechos de usuario directo: Ninguno Derechos de usuario heredados: Obtener acceso a este equipo desde la red Agregar estaciones de trabajo al dominio Omitir comprobación de recorrido Aumentar el espacio de trabajo de un proceso |
| Operadores criptográficos | Contenedor integrado Grupo de seguridad local del dominio |
Los miembros están autorizados a realizar operaciones criptográficas. Derechos de usuario directo: Ninguno Derechos de usuario heredados: Obtener acceso a este equipo desde la red Agregar estaciones de trabajo al dominio Omitir comprobación de recorrido Aumentar el espacio de trabajo de un proceso |
| Usuarios del depurador | Esto no es un grupo predeterminado ni integrado, pero cuando está presente en AD DS, es motivo para una investigación más detallada. | La presencia de un grupo de usuarios del depurador indica que las herramientas de depuración se han instalado en el sistema en algún momento, ya sea a través de Visual Studio, SQL, Office u otras aplicaciones que requieren y soportan un entorno de depuración. Este grupo permite el acceso de depuración remota a los equipos. Cuando este grupo está en el nivel de dominio, indica que se ha instalado un depurador o una aplicación que contiene un depurador en un controlador de dominio. |
| Grupo sin permiso para replicar contraseñas en RODC | Contenedor users Grupo de seguridad local del dominio |
Los miembros de este grupo no pueden tener sus contraseñas repetidas en todos los controladores de dominio de solo lectura del dominio. Derechos de usuario directo: Ninguno Derechos de usuario heredados: Obtener acceso a este equipo desde la red Agregar estaciones de trabajo al dominio Omitir comprobación de recorrido Aumentar el espacio de trabajo de un proceso |
| Administradores de DHCP | Contenedor users Grupo de seguridad local del dominio |
Los miembros de este grupo tienen acceso administrativo al servicio del servidor DHCP. Derechos de usuario directo: Ninguno Derechos de usuario heredados: Obtener acceso a este equipo desde la red Agregar estaciones de trabajo al dominio Omitir comprobación de recorrido Aumentar el espacio de trabajo de un proceso |
| Usuarios de DHCP | Contenedor users Grupo de seguridad local del dominio |
Los miembros de este grupo tienen acceso de solo lectura al servicio del servidor DHCP. Derechos de usuario directo: Ninguno Derechos de usuario heredados: Obtener acceso a este equipo desde la red Agregar estaciones de trabajo al dominio Omitir comprobación de recorrido Aumentar el espacio de trabajo de un proceso |
| Usuarios de COM distribuido | Contenedor integrado Grupo de seguridad local del dominio |
Los miembros de este grupo pueden iniciar, activar y usar objetos COM distribuidos en este equipo. Derechos de usuario directo: Ninguno Derechos de usuario heredados: Obtener acceso a este equipo desde la red Agregar estaciones de trabajo al dominio Omitir comprobación de recorrido Aumentar el espacio de trabajo de un proceso |
| DnsAdmins | Contenedor users Grupo de seguridad local del dominio |
Los miembros de este grupo tienen acceso administrativo al servicio del servidor DNS. Derechos de usuario directo: Ninguno Derechos de usuario heredados: Obtener acceso a este equipo desde la red Agregar estaciones de trabajo al dominio Omitir comprobación de recorrido Aumentar el espacio de trabajo de un proceso |
| DnsUpdateProxy | Contenedor users Grupo de seguridad global |
Los miembros de este grupo son clientes DNS que pueden realizar actualizaciones dinámicas en nombre de los clientes que no pueden realizar actualizaciones dinámicas por ellos mismos. Los miembros de este grupo suelen ser servidores DHCP. Derechos de usuario directo: Ninguno Derechos de usuario heredados: Obtener acceso a este equipo desde la red Agregar estaciones de trabajo al dominio Omitir comprobación de recorrido Aumentar el espacio de trabajo de un proceso |
| Admins. del dominio | Contenedor users Grupo de seguridad global |
Administradores designados del dominio; Los administradores del dominio son miembros de cada grupo de administradores locales del equipo unido a un dominio y reciben derechos y permisos concedidos al grupo de administradores locales, además del grupo de administradores del dominio. Derechos de usuario directo: Ninguno Derechos de usuario heredados: Obtener acceso a este equipo desde la red Agregar estaciones de trabajo al dominio Ajustar las cuotas de la memoria para un proceso Permitir el inicio de sesión local Permitir inicio de sesión a través de Servicios de Escritorio remoto Hacer copias de seguridad de archivos y directorios Omisión de la comprobación transversal Cambiar la hora del sistema Cambiar la zona horaria Crear un archivo de paginación Crear objetos globales Crear vínculos simbólicos Programas de depuración Habilitar confianza con las cuentas de usuario y de equipo para delegación Forzar cierre desde un sistema remoto Suplantar un cliente después de autenticación Aumentar el espacio de trabajo de un proceso Aumentar prioridad de programación Cargar y descargar controladores de dispositivo Iniciar sesión como proceso por lotes Administrar la auditoría y el registro de seguridad Modificar valores de entorno firmware Realizar tareas de mantenimiento del volumen Analizar un solo proceso Analizar el rendimiento del sistema Quitar equipo de la estación de acoplamiento Restaurar archivos y directorios Apagar el sistema Tomar posesión de archivos y otros objetos |
| Equipos del dominio | Contenedor users Grupo de seguridad global |
Todas las estaciones de trabajo y los servidores que están unidos al dominio son miembros de este grupo de forma predeterminada. Derechos de usuario directo predeterminado: Ninguno Derechos de usuario heredados: Obtener acceso a este equipo desde la red Agregar estaciones de trabajo al dominio Omitir comprobación de recorrido Aumentar el espacio de trabajo de un proceso |
| Controladores de dominio | Contenedor users Grupo de seguridad global |
Todos los controladores de dominio en este dominio. Nota: los controladores de dominio no son miembros del grupo de equipos del dominio. Derechos de usuario directo: Ninguno Derechos de usuario heredados: Obtener acceso a este equipo desde la red Agregar estaciones de trabajo al dominio Omitir comprobación de recorrido Aumentar el espacio de trabajo de un proceso |
| Invitados del dominio | Contenedor users Grupo de seguridad global |
Todos los invitados del dominio Derechos de usuario directo: Ninguno Derechos de usuario heredados: Obtener acceso a este equipo desde la red Agregar estaciones de trabajo al dominio Omitir comprobación de recorrido Aumentar el espacio de trabajo de un proceso |
| Usuarios de dominio | Contenedor users Grupo de seguridad global |
Todos los usuarios del dominio Derechos de usuario directo: Ninguno Derechos de usuario heredados: Obtener acceso a este equipo desde la red Agregar estaciones de trabajo al dominio Omitir comprobación de recorrido Aumentar el espacio de trabajo de un proceso |
| Administradores de organización (aparecen solo en el dominio raíz del bosque) | Contenedor users Grupo de seguridad universal |
Los administradores de empresa tienen permisos para cambiar la configuración de todo el bosque; Los administradores de empresa son miembros del grupo de administradores de cada dominio y reciben derechos y permisos concedidos a ese grupo. Derechos de usuario directo: Ninguno Derechos de usuario heredados: Obtener acceso a este equipo desde la red Agregar estaciones de trabajo al dominio Ajustar las cuotas de la memoria para un proceso Permitir el inicio de sesión local Permitir inicio de sesión a través de Servicios de Escritorio remoto Hacer copias de seguridad de archivos y directorios Omisión de la comprobación transversal Cambiar la hora del sistema Cambiar la zona horaria Crear un archivo de paginación Crear objetos globales Crear vínculos simbólicos Programas de depuración Habilitar confianza con las cuentas de usuario y de equipo para delegación Forzar cierre desde un sistema remoto Suplantar un cliente después de autenticación Aumentar el espacio de trabajo de un proceso Aumentar prioridad de programación Cargar y descargar controladores de dispositivo Iniciar sesión como proceso por lotes Administrar la auditoría y el registro de seguridad Modificar valores de entorno firmware Realizar tareas de mantenimiento del volumen Analizar un solo proceso Analizar el rendimiento del sistema Quitar equipo de la estación de acoplamiento Restaurar archivos y directorios Apagar el sistema Tomar posesión de archivos y otros objetos |
| Controladores de dominio empresariales de solo lectura | Contenedor users Grupo de seguridad universal |
Este grupo contiene las cuentas de todos los controladores de dominio de solo lectura del bosque. Derechos de usuario directo: Ninguno Derechos de usuario heredados: Obtener acceso a este equipo desde la red Agregar estaciones de trabajo al dominio Omitir comprobación de recorrido Aumentar el espacio de trabajo de un proceso |
| Lectores del registro de eventos | Contenedor integrado Grupo de seguridad local del dominio |
Los miembros de este grupo pueden leer los registros de eventos en los controladores del dominio. Derechos de usuario directo: Ninguno Derechos de usuario heredados: Obtener acceso a este equipo desde la red Agregar estaciones de trabajo al dominio Omitir comprobación de recorrido Aumentar el espacio de trabajo de un proceso |
| Propietarios del creador de directivas de grupo | Contenedor users Grupo de seguridad global |
Los miembros de este grupo pueden modificar la directiva de grupo del dominio. Derechos de usuario directo: Ninguno Derechos de usuario heredados: Obtener acceso a este equipo desde la red Agregar estaciones de trabajo al dominio Omitir comprobación de recorrido Aumentar el espacio de trabajo de un proceso |
| Invitado | Contenedor users No es un grupo |
Esta es la única cuenta de un dominio de AD DS que no tiene el SID de usuarios autenticados a su token de acceso. Por lo tanto, cualquiera de los recursos configurados para conceder acceso al grupo de Usuarios autenticados no serán accesibles en esta cuenta. Este comportamiento no se aplica a los miembros de los grupos Invitados e Invitados del dominio. No obstante, los miembros de esos grupos tienen agregado el SID de usuarios autenticados a sus tokens de acceso. Derechos de usuario directo: Ninguno Derechos de usuario heredados: Obtener acceso a este equipo desde la red Omitir comprobación de recorrido Aumentar el espacio de trabajo de un proceso |
| Invitados | Contenedor integrado Grupo de seguridad local del dominio |
Los invitados tienen el mismo acceso que los miembros del grupo Usuarios de forma predeterminada, excepto la cuenta de invitado, que se restringe aún más como se ha descrito anteriormente. Derechos de usuario directo: Ninguno Derechos de usuario heredados: Obtener acceso a este equipo desde la red Agregar estaciones de trabajo al dominio Omitir comprobación de recorrido Aumentar el espacio de trabajo de un proceso |
| Administradores de Hyper-V (Windows Server 2012) | Contenedor integrado Grupo de seguridad local del dominio |
Los miembros de este grupo tienen acceso completo y sin restricciones a todas las características de Hyper-V. Derechos de usuario directo: Ninguno Derechos de usuario heredados: Obtener acceso a este equipo desde la red Agregar estaciones de trabajo al dominio Omitir comprobación de recorrido Aumentar el espacio de trabajo de un proceso |
| IIS_IUSRS | Contenedor integrado Grupo de seguridad local del dominio |
Grupo integrado que Internet Information Services usa. Derechos de usuario directo: Ninguno Derechos de usuario heredados: Obtener acceso a este equipo desde la red Agregar estaciones de trabajo al dominio Omitir comprobación de recorrido Aumentar el espacio de trabajo de un proceso |
| Generadores de confianza del bosque de entrada (aparece solo en el dominio raíz del bosque) | Contenedor integrado Grupo de seguridad local del dominio |
Los miembros de este grupo pueden crear confianzas unidireccionales entrantes en este bosque. (La creación de confianzas del bosque salientes se reserva para los administradores de empresa.) Derechos de usuario directo: Ninguno Derechos de usuario heredados: Obtener acceso a este equipo desde la red Agregar estaciones de trabajo al dominio Omitir comprobación de recorrido Aumentar el espacio de trabajo de un proceso |
| Krbtgt | Contenedor users No es un grupo |
La cuenta Krbtgt es la cuenta de servicio del Centro de distribución de claves Kerberos del dominio. Esta cuenta tiene acceso a las credenciales de todas las cuentas almacenadas en Active Directory. Esta cuenta está deshabilitada de forma predeterminada y nunca se debe habilitar Derechos de usuario: No aplicable |
| Operadores de configuración de red | Contenedor integrado Grupo de seguridad local del dominio |
Los miembros de este grupo tienen privilegios que les permiten administrar la configuración de las características de red. Derechos de usuario directo: Ninguno Derechos de usuario heredados: Obtener acceso a este equipo desde la red Agregar estaciones de trabajo al dominio Omitir comprobación de recorrido Aumentar el espacio de trabajo de un proceso |
| Usuarios del registro de rendimiento | Contenedor integrado Grupo de seguridad local del dominio |
Los miembros de este grupo pueden programar el registro de contadores de rendimiento, habilitar proveedores de seguimiento y recoger seguimientos de eventos localmente y a través del acceso remoto al equipo. Derechos de usuario directo: Iniciar sesión como proceso por lotes Derechos de usuario heredados: Obtener acceso a este equipo desde la red Agregar estaciones de trabajo al dominio Omitir comprobación de recorrido Aumentar el espacio de trabajo de un proceso |
| Usuarios de Monitor de rendimiento | Contenedor integrado Grupo de seguridad local del dominio |
Los miembros de este grupo pueden acceder a los datos del contador de rendimiento de forma local y remota. Derechos de usuario directo: Ninguno Derechos de usuario heredados: Obtener acceso a este equipo desde la red Agregar estaciones de trabajo al dominio Omitir comprobación de recorrido Aumentar el espacio de trabajo de un proceso |
| Acceso compatible con versiones anteriores de Windows 2000 | Contenedor integrado Grupo de seguridad local del dominio |
Este grupo existe para la compatibilidad con versiones anteriores a los sistemas operativos anteriores a Windows 2000 Server y proporciona la posibilidad de que los miembros lean información de usuarios y grupos del dominio. Derechos de usuario directo: Obtener acceso a este equipo desde la red Omitir comprobación de recorrido Derechos de usuario heredados: Agregar estaciones de trabajo al dominio Aumentar el espacio de trabajo de un proceso |
| Operadores de impresión | Contenedor integrado Grupo de seguridad local del dominio |
Los miembros de este grupo pueden administrar las impresoras de dominio. Derechos de usuario directo: Permitir el inicio de sesión local Cargar y descargar controladores de dispositivo Apagar el sistema Derechos de usuario heredados: Obtener acceso a este equipo desde la red Agregar estaciones de trabajo al dominio Omitir comprobación de recorrido Aumentar el espacio de trabajo de un proceso |
| Servidores RAS e IAS | Contenedor users Grupo de seguridad local del dominio |
Los servidores de este grupo pueden leer las propiedades de acceso remoto en las cuentas de usuario del dominio. Derechos de usuario directo: Ninguno Derechos de usuario heredados: Obtener acceso a este equipo desde la red Agregar estaciones de trabajo al dominio Omitir comprobación de recorrido Aumentar el espacio de trabajo de un proceso |
| Servidores de punto de conexión de RDS (Windows Server 2012) | Contenedor integrado Grupo de seguridad local del dominio |
Los servidores de este grupo ejecutan máquinas virtuales y hospedan sesiones donde se ejecutan los programas RemoteApp y los escritorios virtuales personales de los usuarios. Este grupo debe rellenarse en servidores que ejecutan el Agente de conexión a Escritorio remoto. Los servidores host de sesión de Escritorio remoto y los servidores host de virtualización de Escritorio remoto que se usan en la implementación deben estar en este grupo. Derechos de usuario directo: Ninguno Derechos de usuario heredados: Obtener acceso a este equipo desde la red Agregar estaciones de trabajo al dominio Omitir comprobación de recorrido Aumentar el espacio de trabajo de un proceso |
| Servidores de administración de RDS (Windows Server 2012) | Contenedor integrado Grupo de seguridad local del dominio |
Los servidores de este grupo pueden realizar acciones administrativas rutinarias en servidores que ejecutan Servicios de Escritorio remoto. Este grupo debe rellenarse en todos los servidores de una implementación de Servicios de Escritorio remoto. Los servidores que ejecutan el servicio de administración central de RDS deben incluirse en este grupo. Derechos de usuario directo: Ninguno Derechos de usuario heredados: Obtener acceso a este equipo desde la red Agregar estaciones de trabajo al dominio Omitir comprobación de recorrido Aumentar el espacio de trabajo de un proceso |
| Servidores de acceso remoto de RDS (Windows Server 2012) | Contenedor integrado Grupo de seguridad local del dominio |
Los servidores de este grupo permiten a los usuarios de programas RemoteApp y escritorios virtuales personales acceder a estos recursos. En las implementaciones accesibles desde Internet, estos servidores normalmente se implementan en una red perimetral. Este grupo debe rellenarse en servidores que ejecutan el Agente de conexión a Escritorio remoto. Los servidores de puerta de enlace de Escritorio remoto y los servidores de Acceso web de Escritorio remoto usados en la implementación deben estar en este grupo. Derechos de usuario directo: Ninguno Derechos de usuario heredados: Obtener acceso a este equipo desde la red Agregar estaciones de trabajo al dominio Omitir comprobación de recorrido Aumentar el espacio de trabajo de un proceso |
| Controladores de dominio de solo lectura | Contenedor users Grupo de seguridad global |
Este grupo contiene todos los controladores de dominio de solo lectura del dominio. Derechos de usuario directo: Ninguno Derechos de usuario heredados: Obtener acceso a este equipo desde la red Agregar estaciones de trabajo al dominio Omitir comprobación de recorrido Aumentar el espacio de trabajo de un proceso |
| Usuarios de escritorio remoto | Contenedor integrado Grupo de seguridad local del dominio |
Los miembros de este grupo tienen el derecho de iniciar sesión de forma remota. Derechos de usuario directo: Ninguno Derechos de usuario heredados: Obtener acceso a este equipo desde la red Agregar estaciones de trabajo al dominio Omitir comprobación de recorrido Aumentar el espacio de trabajo de un proceso |
| Usuarios de administración remota (Windows Server 2012) | Contenedor integrado Grupo de seguridad local del dominio |
Los miembros de este grupo pueden acceder a los recursos de WMI mediante protocolos de administración (como WS-Management a través del servicio Administración remota de Windows). Esto solo se aplica a los espacios de nombres WMI que conceden acceso al usuario. Derechos de usuario directo: Ninguno Derechos de usuario heredados: Obtener acceso a este equipo desde la red Agregar estaciones de trabajo al dominio Omitir comprobación de recorrido Aumentar el espacio de trabajo de un proceso |
| Duplicadores | Contenedor integrado Grupo de seguridad local del dominio |
Admite la replicación de archivos heredada en un dominio. Derechos de usuario directo: Ninguno Derechos de usuario heredados: Obtener acceso a este equipo desde la red Agregar estaciones de trabajo al dominio Omitir comprobación de recorrido Aumentar el espacio de trabajo de un proceso |
| Administradores de esquema (aparecen solo en el dominio raíz del bosque) | Contenedor users Grupo de seguridad universal |
Los administradores de esquemas son los únicos usuarios que pueden realizar modificaciones en el esquema de Active Directory y solo si el esquema está habilitado para escritura. Derechos de usuario directo: Ninguno Derechos de usuario heredados: Obtener acceso a este equipo desde la red Agregar estaciones de trabajo al dominio Omitir comprobación de recorrido Aumentar el espacio de trabajo de un proceso |
| Operadores de servidores | Contenedor integrado Grupo de seguridad local del dominio |
Los miembros de este grupo pueden administrar controladores de dominio. Derechos de usuario directo: Permitir el inicio de sesión local Hacer copias de seguridad de archivos y directorios Cambiar la hora del sistema Cambiar la zona horaria Forzar cierre desde un sistema remoto Restaurar archivos y directorios Apagar el sistema Derechos de usuario heredados: Obtener acceso a este equipo desde la red Agregar estaciones de trabajo al dominio Omitir comprobación de recorrido Aumentar el espacio de trabajo de un proceso |
| Servidores de licencias de Terminal Server | Contenedor integrado Grupo de seguridad local del dominio |
Los miembros de este grupo pueden actualizar cuentas de usuario en Active Directory con información sobre la emisión de licencias, con el fin de realizar un seguimiento y notificar el uso de CAL de TS por usuario Derechos de usuario directo predeterminado: Ninguno Derechos de usuario heredados: Obtener acceso a este equipo desde la red Agregar estaciones de trabajo al dominio Omitir comprobación de recorrido Aumentar el espacio de trabajo de un proceso |
| Usuarios | Contenedor integrado Grupo de seguridad local del dominio |
Los usuarios tienen permisos que les permiten leer varios objetos y atributos en Active Directory, aunque no pueden cambiar la mayoría. Se impide que los usuarios realicen cambios accidentales o intencionados en todo el sistema y puedan ejecutar la mayoría de las aplicaciones. Derechos de usuario directo: Aumentar el espacio de trabajo de un proceso Derechos de usuario heredados: Obtener acceso a este equipo desde la red Agregar estaciones de trabajo al dominio Omitir comprobación de recorrido |
| Grupo de acceso de autorización de Windows | Contenedor integrado Grupo de seguridad local del dominio |
Los miembros de este grupo tiene acceso al atributo tokenGroupsGlobalAndUniversal calculado en objetos de usuario Derechos de usuario directo: Ninguno Derechos de usuario heredados: Obtener acceso a este equipo desde la red Agregar estaciones de trabajo al dominio Omitir comprobación de recorrido Aumentar el espacio de trabajo de un proceso |
| WinRMRemoteWMIUsers_ (Windows Server 2012) | Contenedor users Grupo de seguridad local del dominio |
Los miembros de este grupo pueden acceder a los recursos de WMI mediante protocolos de administración (como WS-Management a través del servicio Administración remota de Windows). Esto solo se aplica a los espacios de nombres WMI que conceden acceso al usuario. Derechos de usuario directo: Ninguno Derechos de usuario heredados: Obtener acceso a este equipo desde la red Agregar estaciones de trabajo al dominio Omitir comprobación de recorrido Aumentar el espacio de trabajo de un proceso |